~~NOCACHE~~
## 4.初期設定-Linuxクライアント
ログ監視がある場合、監視対象のログがzabbix-agentで監視できるよう設定する。

### 前提
・Zabbixの監視は以下のユーザで実施されるため、監視対象のログがこのユーザー/グループに読取り権限が無いと失敗してしまう。
※zabbix_agentd.confにAllowRoot設定(rootでzabbix-agentを動かす)があるが、セキュリティ観点から検討外とする。
　ユーザー：zabbix
　グループ：zabbix

・%%/var/log/messages%%が以下の権限の状態を例とする。
<sxh bash; gutter:True>
-rw-------.  1 root   root  322539 Jan 10 11:01 messages
</sxh>

### やること(設定例)
ユーザー(zabbix)/グループ(zabbix)に%%/var/log/messages%%の読取り権限をつける。
以下の設定例の何れでもログ監視可能となるが、一般的には設定例１が多いと思われます。

####設定例１
既存ファイル及びログローテで作成されるファイルの権限変更。
※監視対象ログ全てで、ログローテ含め設定変更する必要あり。
①パーミッションを640、所有者をroot:zabbixにする。
　(ディレクトリに対しては、パーミッションを640、所有者をroot:zabbix)
<sxh bash; gutter:True>
#設定
chmod 640 /var/log/messages
chown root:zabbix /var/log/messages

#確認
ls -al /var/log/messages
</sxh>

②ログローテのファイル作成権限を変更する。
既存ログは①で変更できるが、新規ファイルも監視できるよう権限を設定する。(ハイライト行を追加)
<sxh bash; highlight: [12]; gutter:True;>
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
    endscript
    create 0640 root zabbix
}
</sxh>
####設定例２
zabbixユーザーをrootグループに所属させる。
※rootグループに対して、特権を与えている場合は考慮が必要。
　ログによっては、rootグループでないファイルがあるため、[実施例１]と同様にログローテ設定を見直す。
<sxh bash; gutter:True>
#設定(rootグループ追加)※zabbixグループのみの所属に戻す場合は[usermod -G zabbix zabbix]
usermod -aG root zabbix

#確認
id zabbix
</sxh>

####設定例３
他ユーザーの読取り権限をつける
※他ユーザーに読取り権限をつけて良いかは、セキュリティ要件の考慮が必要。
　ログによっては、rootグループで無いファイルがあるため、[実施例１]と同様にログローテ設定を見直す。
①パーミッションを644にする。
　(ディレクトリに対しては、パーミッションを755)
<sxh bash; gutter:True>
#設定
chmod 644 /var/log/messages

#確認
ls -al /var/log/messages
</sxh>

{{tag>RHEL Zabbix 実践的}}